วันที่เผยแพร่ครั้งแรก: 10/12/2021 เวลา 19.20 น. ตามเวลา PDT

การอัปเดตทั้งหมดเกี่ยวกับปัญหานี้ถูกย้ายมาที่นี่

AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการต่างๆ ของ AWS ซึ่งใช้ Log4j2 หรือมอบ Log4j2 ให้แก่ลูกค้าเพื่อเป็นส่วนหนึ่งของบริการของตน

เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุดโดยไปที่ https://logging.apache.org/log4j/2.x/download.html หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง

หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support

Amazon EC2

Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228 ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่: https://alas.aws.amazon.com

AWS WAF / Shield

เพื่อปรับปรุงการตรวจจับและการลดความเสี่ยงที่เกิดจากปัญหาด้านความปลอดภัย Log4j ล่าสุด เราจึงได้อัปเดต AWSManagedRulesKnownBadInputsRuleSet AMR ในบริการ AWS WAF ลูกค้าของ CloudFront, Application Load Balancer (ALB), API Gateway และ AppSync สามารถใช้ตัวเลือกการลดความเสี่ยงนี้ได้ทันที ซึ่งจะตรวจสอบ uri, เนื้อหาคำขอ และส่วนหัวที่ใช้กันทั่วไป เพื่อเพิ่มเลเยอร์การป้องกันอีกชั้น โดยสร้าง ACL เว็บ AWS WAF, เพิ่ม AWSManagedRulesKnownBadInputsRuleSet ให้กับ ACL เว็บของคุณ จากนั้นจึงเชื่อมโยง ACL เว็บกับการกระจาย CloudFront, ALB, API Gateway หรือ AppSync GraphQL API

ดูข้อมูลเพิ่มเติมเกี่ยวกับการเริ่มต้นใช้งาน AWS WAF ได้ที่นี่: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html

ดูเอกสารประกอบเพิ่มเติมเกี่ยวกับการเปิดใช้งาน AMR ได้ที่นี่: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html

โปรดทราบว่า AMR ไม่มีให้บริการใน WAF Classic ดังนั้นโปรดอัปเกรดเป็น AWS WAF (wafv2) เพื่อใช้ตัวเลือกการลดความเสี่ยงนี้

Amazon OpenSearch

เรากำลังอัปเดตโดเมน Amazon OpenSearch Service ทั้งหมดเพื่อใช้ "Log4j2" เวอร์ชันที่แก้ไขปัญหา คุณอาจสังเกตเห็นการดำเนินการในโดเมนของคุณเป็นระยะระหว่างกระบวนการอัปเดต

AWS Lambda

AWS Lambda ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-44228 ลูกค้าที่ใช้ไลบรารี aws-lambda-java-log4j2(https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) ในฟังก์ชันของตนจะต้องอัปเดตเป็นเวอร์ชัน 1.3.0 แล้วปรับใช้อีกครั้ง

AWS CloudHSM

CloudHSM JCE SDK เวอร์ชันที่เก่ากว่า 3.4.1 ประกอบด้วย Apache Log4j เวอร์ชันที่ได้รับผลกระทบจากปัญหานี้ เมื่อวันที่ 10 ธันวาคม 2021 CloudHSM ได้เผยแพร่ JCE SDK v3.4.1 โดยมี Apache Log4j เวอร์ชันที่แก้ไขแล้ว หากคุณใช้ CloudHSM JCE เวอร์ชันที่เก่ากว่า 3.4.1 คุณอาจได้รับผลกระทบและควรแก้ไขโดยการอัปเกรด CloudHSM JCE SDK เป็นเวอร์ชัน 3.4.1 หรือสูงกว่า [1]
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html